我应该混淆Android应用程序存储的OAuth消费者密钥吗？

真正的问题是攻击者从窃取它中得到了什么... 尽管如此，在安装的应用程序中存在高度动机的黑客总是可以找到窃取它的方法，所以它的保护价值在于秘密内容的价值与提取难度之间的平衡。客户端密钥的价值在于模拟应用程序，而不会给予任何访问用户数据的权限。然而，由于 Twitter 支持自动发放凭据给先前已批准的应用程序（他们使用 Twitter 的登录流程），攻击者可能会使用您的密钥构建一个 Web 应用程序并通过盲目重定向窃取用户数据。Twitter 实现的问题在于他们没有询问开发人员关于应用程序性质的信息。如果有询问，他们一开始就不会向您发放密钥，并会阻止任何人使用您的客户端凭据构建 Web 应用程序并从已经批准的用户中窃取数据。混淆是一种选择，但很弱。将密钥移动到充当 API 代理的 Web 服务器上是另一种选择，但这只是将问题转移到其他地方，因为现在您的应用程序必须对代理服务器进行身份验证。然而，如果您要求用户登录您的网站（可以通过 Web 视图使用 Twitter 登录），则这种模式可能相当安全。这样，试图滥用您的代理的人需要让他们的用户在您的服务上开设帐户，这并不是非常吸引人。简而言之，继续混淆它，这没有坏处。考虑使用代理模式。也许可以让 Twitter 知道他们的安全策略“不太好”。

我肯定会阅读OAuth作者之一Eran Hammer-Lahav所写的这篇分析文章，其中引用了另一篇剖析Twitter OAuth安全问题的文章。
我的建议是混淆密钥，以使其不易被提取，并且您将免受骗子和垃圾邮件的侵害。
Hammer-Lahav认为OAuth密钥不应该被撤销，只应该用于收集统计数据。希望Twitter正在遵循这个建议。

为了在Android应用程序中隐藏OAuth秘密密钥，您可以使用我们开发的gradle插件。它是Dexguard的免费开源替代品。我们的hidden-secrets-gradle-plugin使用NDK和XOR运算符来混淆密钥以防止反向工程。

您可以选择提供自定义编码/解码算法以提高密钥的安全性。

访问插件和所有详细信息：https://github.com/klaxit/hidden-secrets-gradle-plugin

0Auth 的主要点是您不会在设备上存储任何珍贵的敏感信息，因此在设备上存储秘密是可以的（比真实用户凭据更好）。如果您的设备秘密被盗，用户始终可以无需更改其凭据即可使访问无效。